* Martin Schulze:
> Florian Weimer wrote:
>> Aber ich schweife ab. Ich halte es jedenfalls f�r vollkommen verfehlt,
>> wegen irgendwelcher unkoordinierter Filter an einzelnen Hochschulen
>> den Untergrund der Demokratie auszurufen.
>
> Untergang?
Jaja, sorry.
>> Weitaus mehr Sorgen macht mir das Filter-Potential, das derzeit am
>> DE-CIX aufgebaut wird, und auch die M�glichkeiten zum User-Tracking,
>> die das IVW-Quasimonopol zur Folge hat. Aber das wird v�llig
>> totgeschwiegen. Cui bono?
>
> Details?
Wir hatten vor einiger Zeit mal diskutiert, da� die verbleibende
technische Herausforderung f�r einen zentralen HTTP-Filter f�r
Deutschland daran liegt, den legetimen Verkehr, der weitergereicht
werden soll, von der Filter-Box wegzurouten ("schleifenloses Routing"
hie� das damals). Hersteller von Anti-DDoS-Appliances haben dieses
Problem inzwischen gel�st (mit allerhand Tunnel-Tricks, die Leute
haben auch das Know-How, so etwas zu implementieren -- im Gegensatz zu
denen, die vorher nur Proxy-basierte Filter machten). Am DE-CIX
befindet sich derzeit eine solche Appliance (von Riverhead), deren
Nutzung wohl auch prinzipiell jedem DE-CIX-Mitglied offensteht.
Nun ist das eigentliche Detektieren und Filtern von vorher definierten
GET-Requests trivial im Vergleich zum Erkennen von DDoS-Verkehr (und
dem reichlich magischen Proze� aus ein paar hunder MBit/s den
n�tzlichen Verkehr zu extrahieren). Was also noch fehlt f�r den Filter
f�r Deutschland, ist ein Firmware-Upgrade von Riverhead, was diese
Funktionalit�t nachr�stet und ein wenig sanfter Druck auf die
DE-CIX-Mitglieder, die den Dienst nicht nutzen -- und nat�rlich
jemand, der das ganze vorantreibt und die Filter festlegt.
Eine g�nzlich andere M�glichkeit der Entwicklung w�re, da� sich die
herrschende Meinung, man d�rfe IP-Adressen nicht komplett sperren (was
ich f�r vergleichsweise l�cherlich halte), �ndert. Wenn n�mlich
IP-Adressen komplett gefiltert werden d�rfen, dann kann ich den Filter
f�r Deutschland buchst�blich hier bei mir im Keller betreiben. So
einfach ist das dann.
Es mag auch ganz anders kommen, aber obwohl die Bandbreiten, die im
Internet-Backbone zu routen sind, noch immer zunehmen (die Generation
der 40-Gigabit-Leitungen kommt wohl demn�chst), werden dadurch die
H�rden f�r Filter nicht mehr gr��er.
Zu IVW mu� ich wohl nix schreiben, oder? Das sind einfach Web-Bugs mit
zentraler Korrelation und Auswertung. Wir hoffen nat�rlich alle, da�
das wirklich nur zur anonymisierten Reichweitenermittlung verwendet
wird, obwohl wesentlich mehr Daten als das absolute Minimum f�r diesen
Verwendungszweck erhoben werden.
--
Current mail filters: many dial-up/DSL/cable modem hosts, and the
following domains: bigpond.com, di-ve.com, fuorissimo.com, hotmail.com,
jumpy.it, libero.it, netscape.net, postino.it, simplesnet.pt, spymac.com,
tiscali.co.uk, tiscali.cz, tiscali.it, voila.fr, yahoo.com.
--
To unsubscribe, e-mail: [EMAIL PROTECTED]
For additional commands, e-mail: [EMAIL PROTECTED]
